Password vergessen

**MoRtAlAn** · 24.09.2002, 07:47

mach einfach einen link bei die Anmeldung, wo der user auf die betreffende Seite kommt.
Dort fragst du ihn nach seiner eMailadresse, mit der er sich angemeldet hat. Exisitert die Mailadresse, versendest du dorthin das Password.

War die Frage so gemeint ??

gruss

**oli** · 24.09.2002, 07:52

das war schon so

aber wie generiert man den code.

oder anders die abfrage.

**MoRtAlAn** · 24.09.2002, 08:00

du machst ein select auf die Datenbank (feld mit email) und schaust, ob die eingegebene emailadresse bereits in der DB steht. Wenn ja, schickst du die mail raus, wenn nein, bringst du eine meldung.

gruss

**oli** · 24.09.2002, 08:14

und wie überprüfe ich das (der code)

**Real_AzRAel** · 24.09.2002, 08:43

...würds so machen:

$verbindung=mysql_connect($server,$user,$kennwort); //Verbindung zum Datenbankserver

mysql_select_db($datenbank,$verbindung); //Auswahl der Datenbank

$sql="select Passwort from User where (Email='$email')";
$ergebnisid = mysql_query($sql);
$menge = mysql_num_rows($ergebnisid);

switch ($menge) {
case "1":
$ergebnis=mysql_result($ergebnisid,Passwort);
mail($email, "Ihr Passwort",$ergebnis,"MIME-Version 1.0\r\n"."From: Absender@deineadresse.de");
break;

case "0":
echo("Emailadresse nicht im Bestand");
break;
}

**Campus** · 24.09.2002, 10:15

also den selben password wieder zu schicken ist verdammt unseriös, dann kann man davon ausgehen, das der password nicht verschlüsselt wird..

lass lieber ein neue generieren und speicher den verschlüsselt ab und sende den gleichzeit..

**Real_AzRAel** · 24.09.2002, 10:26

...weiso soll denn das unseriös sein ? Ich kann das Passwort doch trotzdem verschlüsselt speichern...

Kleiner Tip: man muß nicht immer one-way Algo's nutzen

**Campus** · 24.09.2002, 10:32

ich kann dir sagen, wieso das unseriös ist, weil viele user oft den selben password für mehrere registrierungen benützen, jetzt geh ich einfach als webmaster (zugriff auf alle PWs) bei, und kauf mir zb was von ebay auf den nick von dem user,
stell dir vor, du hast eine gross anzahl von usern, dann kannste die nicks

assword in eine txtdatei abspeichern, und mal mit accessdiver ein mal das internet durchforsten...

nein danke, damit mach du nicht schaden für den user, sondern auch für dich..

**Real_AzRAel** · 24.09.2002, 10:40

..so ein quark, sorry aber ich seh das Password doch gar nicht es steht verschlüsselt in der Datenbank. Genauso gut kann ich durch Bruteforce die mit md5 verschlüsselten Passwörter die Du vorschlägst knacken... mit genug Rechenpower auch DES und Konsorten... also ich halte das nicht für unseriös. Ist aber auch eigentlich egal, da kann jeder seine Meinung zu haben und jeder machts halt wie ers denkt

Wie würdest Du denn die Passwörter verschlüsseln, das würde mich jetzt aber noch interessieren...

**Campus** · 24.09.2002, 10:52

na wenn du so schau bist,
dann errechne mal für mich folgenden md5 code:
202cb962ac59075b964b07152d234b70

buchtip:"applied cryptography und cryptography - theory and practice"

**Campus** · 24.09.2002, 10:53

"Tom Berson attempted to use a differential cryptanalysis against a single round of MD5, but his attack is ineffective against all four rounds. A more successful attack by den Boer and Bosselaers produces collisions using the compression function in MD5. This does not lend itself to attacks against MD5 in practical applications, and it does not affect the use of MD5 in Luby-Rackoff-like encryption algorithms. It does mean that one of the basic design principles of MD5 - to design a collision-resistant compression function - has been violated. Although it is true that "there seems to be a weakness in the compression function, but it has no practical impact on the security of the hash function"

**Real_AzRAel** · 24.09.2002, 10:59

...wenn ich mich richtig entsinne, ging es Dir darum, das der webmaster usernames & passwörter "klauen" und zweckentfremden könnte; das kann ich auch wenn ich die passwörter mit oneway algo's chiffriere....einfach vor dem chiffrieren als klartext in eine zusätzliche Tabelle schreiben, deswegen ist Dein "unseriös-argument" quatsch....denn wo ein (böser) wille ist, ist auch ein Weg....

**Campus** · 24.09.2002, 11:10

jetzt bieg dir mal nichts zurecht, du wolltest denn selben password in der mail einfach dem user wieder schicken, und sobald ich mein eigenen password in der mail lesen, weiss ich das es nicht verschlüsselt ist, ausserdem nicht nur du als webmaster, sondern mindestens 10 personen bei der du deine page hostest, noch besser, wenn der hoster dann in polnisch 4 free ist...

bist du so faul ,dass es dir zu umständlich md5($password) vom speichern zu coden ?
und dann nochmal nachm login ?

**Real_AzRAel** · 24.09.2002, 11:10

Original geschrieben von Campus
na wenn du so schau bist,
dann errechne mal für mich folgenden md5 code:
202cb962ac59075b964b07152d234b70

buchtip:"applied cryptography und cryptography - theory and practice"

...*lachwech* ich sag nur schnapp Dir ein Wörterbuch lass es MD5 hashen und ich versprech Dir du kriegst 90 % der PAsswörter raus...die meisten User benutzen doch immernoch unsichere PAsswörter ...da hilft auch kein MD5 ....

Password vergessen